The present invention discloses a processing method for malicious attack traffic, including obtaining log information, the log information includes the flow cleaning log information of the traffic cleaning device and the single log information of the remote user dialing authentication server, and the first record message in the flow cleaning log information and the single day of the statement. The second record message in the information is matched to determine the abnormal user information; the control information including the abnormal user information to the remote user dialing authentication server is sent for the remote user dial-up authentication server to restrict the uplink transmission of the abnormal user information corresponding to the abnormal user information. The invention also discloses a flow analysis server and a remote user dialing authentication server.
【技术实现步骤摘要】
一种对恶意攻击流量的处理方法及相关服务器
本专利技术涉及宽带业务领域,尤其涉及一种对恶意攻击流量的处理方法、流量分析服务器和远程用户拨号认证服务器(Radius,RemoteAuthenticationDialInUserService)。
技术介绍
宽带业务是基础通信公司为用户提供的高速访问互联网的接入业务,用户可以通过非对称数字用户线路(ADSL,AsymmetricDigitalSubscriberLine)或光纤接入互联网,实现高速的上网冲浪。由于“宽带中国”战略实施方案的实施,使得城市和农村的家庭宽带的接入能力分别逐步达到20Mbps和4Mbps,部分发达城市已经达到100Mbps。而随着宽带接入标准的调高和互联网用户数量的增多,给黑客利用分布式拒绝服务(DDoS,DistributedDenialofService)进行攻击提供了有利环境,黑客可以通过控制与以往相比一样数量的家庭宽带用户的僵尸主机来制造更多的恶意攻击流量,而大流量的恶意攻击会拥塞网络带宽,抢占网络设备的处理能力,使网络带宽的整体利用率降低,从而会威胁到多种业务。例如,在2015年,中国移动互联网(CMNET,ChinaMobileNetwork)的网间DDoS的恶意攻击流量呈现一个全面爆发的趋势,直接导致晚忙时单电路的丢包率超过40%,从而影响了各类业务的实施,引发了客户的投诉。针对骨干网、城域网中这种大面积的DDoS恶意流量的攻击,当前基础电信运营商一般会采用两种方式进行处理:一种方式是人工方式,即在DDoS恶意流量的攻击发生后,首先通过网管系统观察流量的激增情况,手工提取各 ...
【技术保护点】
1.一种对恶意攻击流量的处理方法,其特征在于,所述方法包括:获取日志信息,所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息;对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配,确定异常用户信息;发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器,供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。
【技术特征摘要】
1.一种对恶意攻击流量的处理方法,其特征在于,所述方法包括:获取日志信息,所述日志信息包括流量清洗设备的流量清洗日志信息和远程用户拨号认证服务器的话单日志信息;对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配,确定异常用户信息;发送包括所述异常用户信息的控制信息至远程用户拨号认证服务器,供所述远程用户拨号认证服务器限制所述异常用户信息对应的异常用户的上行传输数据。2.根据权利要求1所述的方法,其特征在于,所述第一记录消息包括互联网协议IP地址段、异常开始时间和告警级别,所述第二记录消息包括用户IP地址和本次计费开始时间;所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配,确定异常用户信息包括:提取所述第一记录消息中记录的告警级别达到预设级别的待处理记录消息;将所述待处理记录消息中的异常开始时间与所述第二记录消息中待比对记录消息的本次计费开始时间进行比对,确定与所述待处理记录消息对应的用户IP地址;所述待比对记录消息为用户IP地址与所述待处理记录消息的IP地址段关联的第二记录消息;根据与所述待处理记录消息对应的用户IP地址,在所述第二记录消息中查找并确定异常用户信息。3.根据权利要求2所述的方法,其特征在于,所述控制信息还包括所述上行传输限制策略;所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配,确定异常用户信息之后,所述方法还包括:根据所述异常用户信息对应的异常用户的用户IP地址在对应的待处理记录消息中的异常类型和异常延续时间,生成与所述异常用户对应的上行传输限制策略。4.根据权利要求1所述的方法,其特征在于,所述日志信息还包括网络地址转换设备的转换日志信息;所述对所述流量清洗日志信息中的第一记录消息与所述话单日志信息中的第二记录消息进行匹配,确定异常用户信息之前,所述方法还包括:根据所述转换日志信息,对所述第二记录消息中的用户IP地址进行转换,使所述第二记录消息中的用户IP地址包含于所述第一记录消息中的IP地址段。5.一种对恶意攻击流量的处理方法,其特征在于,所述方法包括:接收包括异常用户信息的控制信息;当所述异常用户信息对应的异常用户在线时,根据所述控制信息发送流量控制消息至宽带接入网关,以对所述异常用户的上行传输数据进行限制。6.根据权利要求5所述的方法,其特征在于,所述控制信息还包括上行传输限制策略;所述根据所述控制信息发送流量控制消息至宽带接入网关之前,所述方法还包括:判断所述上行传输限制策略是否满足预设条件,所述预设条件为与所述远程用户拨号认证服务器下发的历史流量控制策略不冲突且相容;满足所述预设条件时,当所述异常用户在线时,根据所述控制信息发送所述流量控制消息至宽带接入网关。7.一...
【专利技术属性】
技术研发人员:李海明,隋鹏,杜峰,高桐,宋刚,褚尧,谭永波,
申请(专利权)人:中国移动通信集团黑龙江有限公司,中国移动通信集团公司,
类型:发明
国别省市:黑龙江,23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。